Autenticação de Registry Mirror com Kubernetes Secrets

Plugins de provedor de credenciais do CRI-O permitem ao Kubernetes autenticar-se em registry mirrors privados utilizando secrets com escopo de namespace, em vez de credenciais em nível de nó. Essa abordagem assegura o isolamento de tenants, crucial em ambientes compartilhados. O kubelet invoca o plugin durante os pulls de imagem, que então recupera os secrets via tokens de service account e gera arquivos de autenticação temporários para o CRI-O.